Nachdem Google erst in der vergangenen Woche 13 Schwachstellen in Chrome 143 geschlossen hatte, folgen nun in der aktuellen Version des Browsers drei weitere Sicherheitslücken, von denen zumindest eine mit einem hohen Gefährdungspotenzial eingestuft wird. Zwei weitere Lücken werden hingegen nur als moderat gefährlich bewertet.

Keine genaueren Informationen

Auch wenn Google nahezu wöchentlich neue Versionen seines Browsers mit behobenen Schwachstellen veröffentlicht, gibt es dieses Mal eine Besonderheit zu beobachten. Der Konzern macht zwar grundsätzlich nur selten genauere Angaben zu den gefundenen Problemen, auch um Nutzern ausreichend Zeit für ein Update zu lassen und Angreifern keine zusätzlichen Informationen an die Hand zu geben, benennt üblicherweise jedoch zumindest die betroffenen Komponenten.

Das ist dieses Mal anders: Bei der als kritisch eingestuften Sicherheitslücke beschränkt sich die Information der Sicherheitsexperten von Google auf den Hinweis, dass sich das Problem noch „in Abstimmung“ befinde. Entsprechend gibt es bislang keine Angaben dazu, in welchem Bereich die Schwachstelle zu verorten ist, noch wurde sie mit einer CVE-Kennung versehen. Google bestätigt lediglich, dass der Exploit bereits im Umlauf ist und aktiv für Angriffe genutzt wird.

Probleme im Passwort-Manager und der Symbolleiste

Anders verhält es sich bei den beiden als mittlere Bedrohung eingestuften Schwachstellen. Die erste betrifft eine Use-after-free-Lücke im Passwort-Manager. Dabei greift die Anwendung auf bereits freigegebenen Speicher zu, was Angreifern das Einschleusen und Ausführen von schadhaftem Code ermöglichen kann. So lassen sich private Daten – wie eben Passwörter – abgreifen oder im schlimmsten Fall die Kontrolle über das System übernehmen. Die zweite mittlere Schwachstelle geht auf eine fehlerhafte Implementierung in der Symbolleiste zurück.

Schnelles Einspielen empfohlen

Angesichts der Bedrohungslage und der bislang unklaren Details zu möglichen Schäden rät Google dazu, die aktualisierte Browser-Version umgehend einzuspielen. Diese liegt mit Version 143.0.7499.109/.110 für Windows und macOS vor, während Linux-Nutzer zu Version 143.0.7499.109 greifen. Für Android steht ebenfalls Version 143.0.7499.109 bereit, eine angepasste Fassung für iOS dürfte erfahrungsgemäß ebenso zeitnah folgen. Korrekturen für auf Chromium basierende Browser wie Microsoft Edge werden üblicherweise ebenfalls in Kürze nachgereicht.

Zudem wurden die genannten Schwachstellen mit Version 142.0.7499.235 auch in der Chrome-Variante mit verlängerter Unterstützung behoben.

Ab sofort verfügbar

Nutzer können das Update über die integrierte Aktualisierungsfunktion des Browsers anstoßen. Alternativ lässt sich die korrigierte Version wie gewohnt bequem über den Link am Ende dieser Meldung aus dem Download-Bereich von ComputerBase beziehen. Android- und iOS-Nutzer finden die aktualisierten Ausgaben hingegen im Google Play Store beziehungsweise im App Store von Apple.

Behörden und Verwaltungen verwenden eine Vielzahl an Domains. Wenn diese aber nicht mehr benötigt und aufgegeben werden, können diese sich zu einer Schwachstelle entwickeln. Von einem Fall beim Bundesamt für Migration und Flüchtlinge (BAMF) berichten Netzpolitik.org und das im Bereich Cybersicherheit tätige Start-up Mint Secure.

Ausgangspunkt war ein neuer Name. Bis 2005 hieß das BAMF noch Bundesamt für Anerkennung ausländischer Flüchtlinge (BAFL). Eine der Domains, die daher genutzt wurde, war www.bafl.de. Bis mindestens 2013 leitete diese noch zur aktuellen BAMF-Seite weiter. Irgendwann wurde sich bei der Behörde aber offenkundig dafür entschieden, Altlasten loszuwerden – die BAFL-Domain wurde aufgegeben.

Aufgegebene Domain erhält immer noch Anfragen aus Bundesnetzen

Intern ist dieser Schritt aber nicht komplett umgesetzt worden, zeigt nun die Analyse von Mint Secure. Der Gründer und IT-Sicherheitsexperte Tim Philipp Schäfers hatte sich die Domain bafl.de gekauft, die Vorbesitzer hatten anscheinend kein Interesse mehr. Interessiert hatte ihn laut dem Bericht von Netzpolitik.org, inwieweit ehemalige Behörden-Domains noch aufgerufen werden.

Was er bei seinem Test feststellte: Selbst aus den Netzen von Bundesbehörden erfolgen noch täglich DNS-Anfragen. Ein Herkunftsort ist etwa das Bundesinnenministerium. „Seit September 2025 hat es Tausende solcher DNS-Anfragen gegeben. Einige finden täglich und automatisiert statt, andere offenbar durch manuelle Pings oder Anfragen an IT-Systeme“, heißt es in der Analyse auf Mint Secure.

Schäfers vermutete hinter den Zugriffen auf bafl.de eine Fehlkonfiguration interner Systeme. Er meldete den Vorfall daher bereits im September beim CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es dauerte etwas, bis sich das BAMF meldete. Ein Sprecher bestätigte mittlerweile aber auch gegenüber Netzpolitik.org die Probleme.

Beim ITZ-Bund – also dem zentralen IT-Dienstleister der Bundesverwaltung – hat das BAMF mittlerweile beantragt, dass bafl.de aus allen Konfigurationen entfernt wird. So wolle man potenzielle Gefahren und Missbrauch verhindern. So schnell lassen sich die Server-Konfigurationen aber offenbar nicht anpassen. Mint Secure registriert bis heute noch DNS-Anfragen aus Bundesnetzen.

Solche Anfragen sind ein Risiko, Mint Secure bezeichnet die bafl.de-Domain als potenziell „unkontrollierten technischen Einstiegspunkt in interne Netze von BMI [Bundesinnenministerium] und BAMF“. Angreifer hätten damit „interne Hostnamen, Dienste und Netzstrukturen auslesen und so detaillierte Informationen über die IT-Infrastruktur gewinnen können“, was im Worst-Case-Szenario dazu führt, dass am Ende die Systeme des Bundes kompromittiert werden.

Generell bestehe die Gefahr, dass ein solcher Fall zu erheblichen technischen und sicherheitsrelevanten Schäden für die betroffenen Bundesbehörden führen könne.

bafl.de wurde zeitweise von Dritten verwendet

Angreifbar sind aber nicht nur die Bundesbehörden. Auch Bürger können durch ehemalige Domains getäuscht werden. Unter bafl.de fand lange Zeit nichts statt, ab August 2022 war dort aber zeitweise eine Webseite abrufbar, die vermeintlich über Asyl informierte. Diese bestand aber vor allem aus Stockbildern und KI-Texten und hatte zudem kein Impressum.

Ein direkter Schaden wurde damit offenbar nicht angerichtet, heißt es bei Netzpolitik.org. Wie eine Rückwärtssuche von Bildern der Webseite ergab, wurden die Inhalte offenbar für mehrere Web-Auftritte verwendet. Aufgrund des ähnlichen Vorgehens vermutet Mint Secure, dass die Betreiber sich damit SEO-Vorteile verschaffen wollten, um auf dubiose Angebote wie etwa Glücksspielportale zu verweisen.

Domains wie bafl.de sind dafür besonders geeignet, weil diese in Nachrichtenarchiven, Forschungsarbeiten sowie bei Behörden und Ämtern – und sogar auf Bundestag.de – noch auftauchen. Auf den ersten Blick wirken diese also vergleichsweise seriös, Betrugsabsichten lassen sich so gut tarnen.

Alte Domains aus Sicherheitsgründen besser reservieren

Dass Domains freigegeben werden, obwohl interne Systeme diese noch ansteuern, hält Schäfers für ein schweres Versäumnis. Behörden müssten sicherstellen, dass diese „intern auf keinem System mehr verwendet wird oder sicherheitshalber reserviert halten, wenn man das nicht garantieren kann“, sagte er zu Netzpolitik.org.

Diese Haltung wird auch vom BAMF bestätigt. Aus Sicherheitsgründen sei es erforderlich, nicht mehr genutzte Domains weiter zu registrieren.

Wie verbreitet das Problem ist, lässt sich aber nicht sagen. Für eine Analyse wird zunächst eine Liste mit allen Bundes-Domains sowie denjenigen, die in den letzten Jahren aufgegeben worden sind, benötigt. Diese Informationen will die Bundesregierung aber nicht freigeben. Eine Antwort auf eine Anfrage der Linken wird als Verschlusssache und damit als geheim eingestuft, heißt es im Bericht von Netzpolitik.org. Schätzungen legen indes nahe, dass die Anzahl der Bundes-Domains in die Tausende geht.

Lösungsansätze sind ebenso nicht einfach umsetzbar. Ein konkretes Regelwerk existiert nicht, die jeweiligen Behörden sind für die Absicherung der Domains zuständig. Angedacht ist auch eine „Digitale Dachmarke“, die neben einer einheitlichen Bild-Wort-Marke auch Domain-Namen vorsieht, die auf gov.de enden. Das Projekt befindet sich aber noch in der Pilotphase, berichtet Netzpolitik.org.

Das Studio Display aus dem Jahr 2022 (Test) soll schon nächstes Jahr mit neuen Funktionen aufgelegt werden. Gerüchten zufolge plant Apple ein neues Display mit 120 Hz sowie einer Unterstützung für HDR, was die Verwendung von Mini-LEDs nahelegt. Als Chip für Sound und Bildverarbeitung wird der A19 erwartet.

Die Änderungen will Macworld im internen Code von iOS 26 gesehen haben. Nach dem Bericht soll intern an einem Display namens J527 gearbeitet werden, das bereits vor wenigen Wochen von Bloomberg als zukünftige zweite Generation Studio Display gehandelt wurde.

Neues Panel

Herzstück der kommenden Generation soll demnach ein neues Panel werden, das erstmals auf 120 Hz und eine HDR-Unterstützung setzen soll. Damit würde Apple seine externen Displays auf das Niveau seiner MacBook Pro heben: Alle Modelle unterstützen mittlerweile HDR über tausende Mini-LED-Zonen mit bis zu 1.600 cd/m² bei 120 Hz. Der HDR-Effekt ist zumindest bei den Notebooks dadurch spürbar (Test), könnte nun aber auf eine Displaygröße von 27″ skaliert werden, auch wenn Macworld keine Angaben zur Anzahl der Mini-LED-Zonen macht. Die Auflösung soll wohl weiterhin bei 5K liegen und damit die „Retina“-Pixeldichte von 218 ppi erreichen. Das ist deutlich hochauflösender als andere Displays in dieser Größenordnung.

Neuer Chip

Wie auch beim Studio Display soll Apple in der kommenden Generation auf einen SoC im Inneren setzen, der mutmaßlich erneut für die Verarbeitung der Kamerafunktionen und den Sound zuständig wird. Der Sprung könnte dabei beachtlich ausfallen: Während die aktuelle Generation noch auf einen A13-Chip aus dem iPhone 11 setzt, soll der Konzern nun auf den A19 aus dem aktuellen iPhone 17 wechseln. Wofür ein Monitor so viel Rechenleistung braucht, beantwortet der Artikel nicht im Detail.

Was mit dem Pro Display XDR?

Sollte Apple tatsächlich im kommenden Jahr ein neues, aufgewertetes Studio Display auf den Markt bringen, stellt sich die Frage, was aus dem bisherigen Pro Display XDR wird. Während das bisher Studio Display ab ab 1.531 Euro im Preisvergleich verfügbar ist, startet das Pro Display XDR erst ab ab 4.862 Euro. Bei letzterem erhalten Nutzer dafür eine HDR-Funktion sowie eine 6K-Auflösung bei gesteigerten 32″ und damit mehr Arbeitsfläche. Das neue Studio Display würde Apples bisheriges Top-Modell folglich bis auf die Displaygröße übertrumpfen, sollten sich die Gerüchte bewahrheiten.

Wohl auch deshalb arbeitet der Konzern intern an einem weiteren Modell mit einer größeren Displaygröße, das wohl auch das Pro Display XDR beerben könnte, wie Bloomberg schon im März 2025 mutmaßte.